Azure Stack Hub 的网络集成规划
本文提供 Azure Stack Hub 网络基础结构信息,帮助你决定如何将 Azure Stack Hub 最好地集成到现有网络环境中。
注意
若要从 Azure Stack Hub 解析外部 DNS 名称(例如,www.bing.com),必须提供要向其转发 DNS 请求的 DNS 服务器。 有关 Azure Stack Hub DNS 要求的详细信息,请参阅 Azure Stack Hub 数据中心集成 - DNS。
物理网络设计
Azure Stack Hub 解决方案需要弹性且高度可用的物理基础结构来支持其操作和服务。 要将 Azure Stack Hub 集成到网络中,需要将架顶交换机(ToR)的上行链路连接到最近的交换机或路由器,本文中称其为 Border。 ToR 可以上行链接到单个或一对边界。 ToR 由我们的自动化工具预配置。 在使用 BGP 路由时,ToR 和 Border 之间至少需要一个连接,在使用静态路由时,ToR 与边界之间至少需要两个连接(每个 ToR 连接一个),其中任一路由选项最多有四个连接。 这些连接限制为 SFP+ 或 SFP28 媒体,最低为 1 GB 速度。 请咨询原始设备制造商(OEM)硬件供应商,了解可用性。 下图显示了建议的设计:
带宽分配
Azure Stack Hub 是使用 Windows Server 2019 故障转移群集和空间直通技术构建的。 为了确保空间直通存储通信能够满足解决方案所需的性能和规模,Azure Stack Hub 物理网络配置的一部分设置为使用流量分离和带宽保证。 网络配置使用流量类将空间直通、基于 RDMA 的通信与 Azure Stack Hub 基础结构和/或租户在网络使用方面的通信区分开来。 为了符合为 Windows Server 2019 定义的当前最佳做法,Azure Stack Hub 将更改为使用其他流量类或优先级,以进一步将服务器与服务器通信分开,以支持故障转移群集控制通信。 此新的流量类定义被配置为保留 2% 的可用物理带宽。 此流量类和带宽预留配置是通过在 Azure Stack Hub 解决方案的顶部(ToR)交换机和 Azure Stack Hub 的主机或服务器上进行更改来实现的。 请注意,客户边界网络设备无需进行更改。 这些更改为故障转移群集通信提供了更好的复原能力,旨在避免网络带宽被完全占用,从而导致故障转移群集控制消息中断的情况。 请注意,故障转移群集通信是 Azure Stack Hub 基础结构的关键组成部分,如果长时间中断,可能会导致空间直通存储服务或其他最终影响租户或最终用户工作负荷稳定性的服务不稳定。
逻辑网络
逻辑网络表示基础物理网络基础结构的抽象。 它们用于组织和简化主机、虚拟机(VM)和服务的网络分配。 作为逻辑网络创建的一部分,将创建网络站点以定义与每个物理位置中的逻辑网络关联的虚拟局域网(VLAN)、IP 子网和 IP 子网/VLAN 对。
下表显示了必须规划的逻辑网络和关联的 IPv4 子网范围:
| 逻辑网络 | 描述 | 大小 |
|---|---|---|
| 公共贵宾 | Azure Stack Hub 总共使用此网络中的 31 个地址,其余地址由租户 VM 使用。 从 31 个地址中,8 个公共 IP 地址用于一组小型 Azure Stack Hub 服务。 如果计划使用应用服务和 SQL 资源提供程序,则使用其他 7 个地址。 其余 16 个 IP 保留给未来的 Azure 服务。 | /26 (62 台主机) - /22 (1022 主机) 建议 = /24 (254 台主机) |
| 交换机基础设施 | 用于路由目的的点到点 IP 地址、专用交换机管理接口和分配给交换机的环回地址。 | /26 |
| 基础设施 | 用于 Azure Stack Hub 内部组件进行通信。 | /24 |
| 专用 | 用于存储网络、专用 VIP、基础结构容器和其他内部功能。 有关更多详细信息,请参阅本文中的 专用网络 部分。 | /20 |
| BMC | 用于与物理主机上的 BMC 通信。 | /26 |
注意
门户上的警报提醒操作员通过运行 PEP cmdlet Set-AzsPrivateNetwork 来添加新的 /20 私有 IP 地址空间。 有关选择 /20 专用 IP 空间的详细信息和指南,请参阅本文中的 专用网络 部分。
网络基础结构
Azure Stack Hub 的网络基础结构由交换机上配置的多个逻辑网络组成。 下图显示了这些逻辑网络,以及它们如何与机架顶部(TOR)、基板管理控制器(BMC)和边界(客户网络)交换机集成。
BMC 网络
此网络专用于将所有基板管理控制器(也称为 BMC 或服务处理器)连接到管理网络。 示例包括:iDRAC、iLO、iBMC 等。 只有一个 BMC 帐户用于与任何 BMC 节点通信。 如果存在,则硬件生命周期主机(HLH)位于此网络上,可以提供特定于 OEM 的软件进行硬件维护或监视。
HLH 还托管部署 VM(DVM)。 DVM 在 Azure Stack Hub 部署期间使用,并在部署完成后删除。 DVM 需要在连接的部署方案中访问 Internet 才能测试、验证和访问多个组件。 这些组件可以位于企业网络内外(例如:NTP、DNS 和 Azure)。 有关连接要求的详细信息,请参阅 Azure Stack Hub 防火墙集成 中的NAT 部分。
专用网络
此 /20(4096 IP)网络专用于 Azure Stack Hub 区域(不会路由到 Azure Stack Hub 系统的边界交换机设备之外),分为多个子网,下面是一些示例:
- 存储网络:一个 /25(128 个 IP)网络,用于支持 Spaces Direct 和服务器消息块(SMB)存储流量以及 VM 实时迁移。
- 内部虚拟 IP 网络:一个 /25 网络,专用于软件负载均衡器的仅限内部的 VIP。
- 容器网络:专用于运行基础结构服务的容器之间的仅限内部流量的 /23(512 IP)网络。
Azure Stack Hub 系统需要额外的 /20 专用内部 IP 空间。 此网络专用于 Azure Stack Hub 系统(不会路由到 Azure Stack Hub 系统的边界交换机设备之外),并且可以在数据中心内的多个 Azure Stack Hub 系统上重复使用。 虽然网络是 Azure Stack 的专用网络,但它不得与数据中心中的其他网络重叠。 /20 专用 IP 空间划分为多个网络,这些网络允许在容器上运行 Azure Stack Hub 基础结构。 此外,此新的专用 IP 空间允许在部署之前不断努力减少所需的可路由 IP 空间。 在容器中运行 Azure Stack Hub 基础结构的目标是优化利用率并提高性能。 此外,/20 专用 IP 空间还用于支持持续努力,旨在减少部署前所需的可路由 IP 空间。 有关专用 IP 空间的指导,请参阅 RFC 1918。
Azure Stack Hub 基础结构网络
此 /24 网络专用于内部 Azure Stack Hub 组件,以便它们可以相互通信和交换数据。 此子网可以从 Azure Stack Hub 解决方案外部路由到数据中心。 不建议在此子网上使用公共或 Internet 可路由 IP 地址。 此网络广播到边界,但其大多数 IP 受访问控制列表 (ACL) 的保护。 允许访问的 IP 地址范围很小,大小相当于 /27 网络和主机服务,例如特权终结点(PEP) 和 Azure Stack Hub 备份。
公共 VIP 网络
公共 VIP 网络分配给 Azure Stack 中的网络控制器。 这不是交换机上的逻辑网络。 SLB 使用地址池,并为租户工作负荷分配 /32 网络。 在交换机路由表中,这些 /32 IP 通过 BGP 通告作为可用路由。 此网络包含外部可访问或公共 IP 地址。 Azure Stack Hub 基础结构会保留此公共 VIP 网络中的前 31 个地址,剩余的地址由租户 VM 使用。 此子网上的网络大小可以介于最小 /26(64 个主机)到最大 /22(1022 主机)范围内。 我们建议规划一个 /24 网络。
连接到本地网络
Azure Stack Hub 将虚拟网络用于客户资源,例如虚拟机、负载均衡器和其他资源。
有多种不同的选项可用于从虚拟网络中的资源连接到本地/企业资源:
- 使用来自公共 VIP 网络的公共 IP 地址。
- 使用虚拟网络网关或网络虚拟设备(NVA)。
当使用 S2S VPN 隧道来连接本地网络的资源或从本地网络连接资源时,可能会遇到一种情况,即资源还被分配了公共 IP 地址,但无法再通过该公共 IP 地址访问。 如果源尝试访问的公共 IP 地址属于在本地网络网关路由(虚拟网络网关)或 NVA 解决方案的用户定义路由中定义的相同子网范围内,Azure Stack Hub 会尝试根据配置的路由规则,通过 S2S 隧道将出站流量路由回源。 返回的流量使用 VM 的专用 IP 地址,而不是经 NAT 操作作为公共 IP 地址的源:
此问题有两种解决方案:
- 将定向到公共 VIP 网络的流量路由到 Internet。
- 添加一个 NAT 设备,以对本地网络网关中定义的任何子网 IP 进行 NAT 处理,并将其定向到公共 VIP 网络。
交换机基础结构网络
此 /26 网络是包含可路由的点到点 IP /30(两个主机 IP)子网和环回的子网,这些子网是专用的 /32 子网,用于带内交换机管理和 BGP 路由器 ID。 此 IP 地址范围必须在 Azure Stack Hub 解决方案外部路由到数据中心。 它们可以是专用 IP 或公共 IP。
交换机管理网络
此 /29(六个主机 IP)网络专用于连接交换机的管理端口。 它允许对部署、管理和故障排除进行带外访问。 它根据前面提到的交换机基础结构网络进行计算。
允许的网络
部署工作表有一个字段,允许操作员更改一些访问控制列表,以允许从受信任的数据中心网络范围访问网络设备管理接口和硬件生命周期主机(HLH)。 通过更改访问控制列表,操作员可以允许其管理跳板机虚拟机在特定网络范围内访问交换机管理接口和HLH操作系统。 操作员可以为此列表提供一个或多个子网;如果留空,则默认拒绝访问。 借助此项新功能,在部署后,就不需要根据修改 Azure Stack Hub 交换机配置中的特定设置所述进行人工干预。